Forbes Russia: Сквозь пальцы. Пять главных ошибок банков в сфере кибербезопасности
Принято считать, что главные угрозы для банков появляются откуда-то извне. Что это происки конкурентов, хакерские атаки, утечки и другие неприятности, а отделы информбезопасности сталкиваются с ними ежедневно.
О подобных историях часто пишут СМИ, однако корень проблем остается вне поля зрения. Журналисты, как правило, пишут о следствиях, а не о причинах. Между тем, серьезных ошибок, которые в конечном итоге и приводят к громким заголовкам, не так уж много — их всего пять.
1 Расхождение в понятиях
В представлении большинства «банк» — это безоговорочный синоним защищенности. Люди убеждены, что нет более безопасного места для хранения денег и документов. И это справедливо, если речь идет о чем-то материальном. Но не о том, что не спрятать в сейф.
Самое ценное сегодня — это информация. С ростом ценности информации в мире эволюционировали и способы ее охраны. Сегодня такие компании, как Google или Facebook куда лучше оберегают данные миллионов своих пользователей, чем банки. В крупных IT-компаниях безопасность буквально «встроена» внутрь самих продуктов и является обязательной их составляющей. В то же время в банках защиту данных все еще пытаются возвести как некий купол над компанией.
В этом и заключается главная ошибка финансовых организаций — они привыкли разделять безопасность и IT. При таком подходе защита будет всегда запаздывать. К тому же, если между IT и безопасностью возникает конфликт, велика вероятность, что руководство примет сторону первых, которые заинтересованы в максимально быстром запуске продукта и сокращении time to market. Это в большей степени соотносится с интересами бизнеса, чем требования информационной безопасности. А значит, дедлайны IT скорее всего будут распространяться и на функцию безопасности. И тогда инструменты защиты заметно теряют в эффективности, потому что интегрируются в продукты по остаточному принципу.
2 Офицеры вместо инженеров
Как правило, на позицию директора по информационной безопасности банки предпочитают нанимать опытных и возрастных управленцев, которые одним своим суровым видом внушают уверенность. Никого не заботит, как такой руководитель будет искать общий язык с молодыми разработчиками. Хотя именно с ними в связке ему и предстоит работать.
До глобальной цифровизации человек с психологией офицера спецслужб идеально подходил банку, ведь он в основном отвечал за физическую сохранность бумажных денег и документов. Но теперь, когда Digital-компонент стал для финансового рынка определяющим, изменились и требования к защите данных. И сейчас наличие крепкого технического бэкграунда — одно из ключевых требований к директору по информационной безопасности.
Не менее важны также гибкость и умение вести диалог с разработкой и инженерами. Менеджер, гармонично сочетающий в себе эти навыки, сумеет кардинальным образом изменить подходы к организации безопасности в компании и вывести ее на один уровень с технологическими гигантами.
3 Излишние угрозы
Страх — это не только один из самых мощных мотиваторов, но и хороший инструмент для манипуляции. Обычно звонок сотрудника из службы информационной безопасности уже сам по себе воспринимается как повод для беспокойства. Страх потерять работу за нарушение внутренних норм — распространенное явление в компаниях. Тогда любые требования безопасников, как правило, исполняются без лишних вопросов.
Однако предназначение директора по безопасности на самом деле не в том, чтобы посильнее напугать коллег и руководство, его роль куда масштабнее. Грамотный директор по ИБ сможет изменить представление о безопасности в банке: от слепой боязни абстрактных угроз, до осознанного стремления решать конкретные вопросы. Тогда ко всей компании придет понимание, что информационная безопасность — неотъемлемая часть современного бизнеса, а не источник проблем. Созидательный компонент в работе директора по безопасности должен стать определяющим, тогда и у его коллег появится желание углубиться в изучение вопросов защиты данных.
4 «Опасная» среда
Сфера кибербезопасности в России сейчас — комната страха для всех, что ведет бизнес «онлайн». Хотя запугивание и не лучший механизм влияния на банкиров, но определенно самый быстрый. Поставщики услуг для банков тратят огромные ресурсы на популяризацию своих разработок. Им выгодно, чтобы руководители испытывали перманентный ужас перед загадочным и жутким интернет-пространством. Поддаваться панике и выбирать неправильные решения — это еще одна ошибка.
Из этого не следует, что на рынке не хватает достойных решений. Напротив, именно высококонкурентная среда побуждает производителей использовать все доступные средства. Разобраться, какие угрозы действительно стоят внимания, а какие — просто раздутый медиапузырь, неподготовленному человеку достаточно тяжело. Умение игнорировать медийный шум и находить адекватных партнеров за разумные деньги — еще одна из ключевых задач банка.
5 Игра в соответствие
Сфера защиты информации, как и любая другая, регулируется и подчиняется ряду законов. Часть банков ошибочно полагает, что соблюдение установленных норм автоматически гарантирует им безопасность. К сожалению, многие из них выполняют требования стандартов только ради получения формального заключения о соответствии. Это, конечно, неплохой первый шаг, но этого недостаточно для того, чтобы утверждать, что компания и правда работает над собственной безопасностью.
Это общая проблема для мирового рынка, хотя в России дела обстоят несколько лучше. Здесь регулятор подходит к выработке нормативов комплексно. С акцентом не на теории, а на практике обеспечения безопасности за счет нормативов. К примеру, когда он ввел пентесты (тесты на проникновение) обязательной частью проверки.
Все вышеперечисленное не означает, что рынок информационной безопасности буксует на месте. Индустрия развивается и достаточно быстро. Но если мы хотим обеспечить реальную безопасность данным, которые храним и обрабатываем, то мало соответствовать стандартам, нужно быть выше них.
Кирилл ЕРМАКОВ, Forbes Contributor